Awareness fa rima con Sicurezza

Per una smart economy sicura, evidenzia Trend Micro, si deve avere la consapevolezza dei rischi e una adeguata cultura aziendale

 

Il cyber attacchi sono, per definizione, portati alle aziende tramite strumenti informatici altamente sofisticati. Per contrastarli le aziende sono portate ad investire, anche su stimolazione da parte dei produttori di strumenti di contrasto, in soluzioni per la cyber security, si dotano di programmi di education, adottano standard e procedure il cui obiettivo è di proteggere e garantire la riservatezza delle informazioni.

Non raramente, concentrati sull’aspetto puramente informatico si è portati a dimenticare quello umano, che in molti casi rappresenta il vero vulnus di un sistema di protezione. E di solito questo avviene con lo strumento più comune a portata di un dipendente, le mail di tipo business.

Le truffe apportate tramite mail (riferito come attacco BEC, acronimo di Business Email Compromise), evidenzia uno studio dell’FBI, sono state tra le principali fonti di attacco e di perdita economica nel corso del primo semestre di quest’anno, perdite che a partire dal 2013 hanno abbondantemente superato i cinque miliardi di dollari.

L’aspetto negativo è che a tutta evidenza si tratta di un trend in crescita, nonostante gli strumenti di contrasto messi in campo dai produttori di soluzioni di sicurezza.

Le figure aziendali oggetto di attacchi BEC

E il dubbio è che i dati relativi alle perdite economiche siano sottostimati perché le aziende sono restie a renderli noti per timore di impatti negativi sul brand, timori peraltro giustificati, anche considerando che secondo studi di operatori del settore di primo piano le figure maggiormente più colpite appartengono all’amministrazione, al finance e tra quest’ultimi il responsabile finanziario.

Per affrontare la cosa la tecnologia è una condizione sine qua non, ma non sufficiente osserva Trend Micro, quello che serve è essere consci dei rischi e render edotte le persone delle policy da seguire, policy che devono essere spiegate agli utilizzatori dalle entità aziendali preposte e, in primis, dal responsabile della sicurezza, che è la figura a cui è demandato il compito di creare le policy e tramite processi educativi diffonderle in azienda. .In sintesi, fare “awareness” .

E per l’awareness più che la tecnologia può rivelarsi utile la fantasia perché per verificar se un modello funziona lo si deve immaginare posto in pratica: come si comporta normalmente un dipendente? Come si muove trai reparti? Che strumenti usa? Che azioni compie tramite il Pc? Quali azioni nell’uso delle applicazioni potrebbero essere sbagliate?

E se si vede un collega che utilizza il computer in modo improprio sa come comportarsi, capire se l’azione può provocare una falla nella sicurezza, e nel caso, sa chi avvisare?

Se ad alcune di queste domande non corrisponde una risposta qualcosa nel programma di awareness e di formazione è carente e la cosa va sistemata. E va fatto il più rapidamente possibile.